System and Organization Controls(soc)2 طراحی شده است تا سازمان های خدماتی را قادر سازد به مشتریان اطمینان دهند که به شیوه ای ایمن کار می کنند و از داده های آنها به طور مناسب محافظت می کنند. این استاندارد توسط American Institute of Certified Public Accountants (AICPA) توسعه یافته است و معیارهایی را برای مدیریت داده های مشتری بر اساس 5 دسته معیار خدمات اعتماد (TSC) تعریف می کند.
برخلاف استانداردهای سفت و سخت تر مانند ISO 27001 و PCI DSS، با SOC2 این انتظار وجود دارد که سازمان ها سیستم ها و کنترل های خود را برای مطابقت با TSC بر اساس خدماتی که ارائه می دهند و الزامات تجاری خاص خود طراحی کنند.
به این ترتیب، گزارش های SOC 2 معمولاً کاملاً دقیق و بسیار خاص برای سازمان مورد نظر هستند. گزارش SOC2 به طور کلی با گواهی ISO 27001 قابل مقایسه است نه در جزئیات. با این حال، به دلیل ماهیت دقیق آن،
2 نوع گزارش SOC 2 وجود دارد:
گزارش Type1: یک certified public accountant (CPA) نظر خود را در مورد اینکه آیا توصیف سیستمهای سازمان به طور منصفانه ارائه شده است یا خیر و اینکه آیا کنترلهای موجود در توضیحات بهطور مناسب برای برآورده کردن Trust Services Criteria (TSC) قابل اجرا در یک مقطع زمانی طراحی شدهاند، ابراز میکند.
گزارش Type2: گزارش CPA حاوی همان نظراتی است که در گزارش نوع 1 بیان شده است، اما همچنین شامل نظری در مورد اثربخشی عملیات کنترلهای سازمان در یک دوره زمانی است. گزارش نوع 2 همچنین شامل شرحی از تستهای اثربخشی عملیات CPA و نتایج این آزمایشها است.
شرایطی که ممکن است یک گزارش Type1 تهیه شود، شامل مواردی است که سیستم ها و کنترل های یک سازمان برای مدت زمان قابل توجهی فعال نبوده اند یا سازمانی اخیراً تغییرات قابل توجهی در سیستم ها یا کنترل های خود ایجاد کرده است.
الزام پایه ای SOC 2 این است که سازمان بتواند نشان دهد که مجموعه ای از فرآیندها و کنترل های امنیت اطلاعات را برای انطباق با 5 دسته TSC را در اختیار دارد:
- Security
- Availability
- Confidentiality
- Processing Integrity
- Privacy
از این دسته ها، فقط Security اجباری است. یک سازمان ممکن است بسته به نوع خدماتی که ارائه میکند و انتظارات مشتریانش، هر یک از 4 دسته دیگر را حذف کند.
برای مثال، سازمانی که یک سرویس مرکز داده میزبانی را ارائه میکند، ممکن است فقط Security و در Availability را در گزارش خود لحاظ کند، در حالی که سازمانی که نرمافزاری بهعنوان سرویس (SAAS) ارائه میکند ممکن است Security، Availability و Processing Integrity را در گزارش خود لحاظ کند.
این 5 دسته در مجموع 61 معیار را پوشش میدهند که برخی از آنها به حاکمیت مربوط میشوند، مانند استقلال هیئت مدیره از مدیریت، و برخی دیگر که کنترلهای امنیت اطلاعات قابل تشخیصتر هستند، مانند محدود کردن دسترسی فیزیکی و توسعه برنامه واکنش به حادثه.
ارتباط قوی بین TSC و کنترلهای پیوست ISO 27001 Annex A وجود دارد. با این حال، SOC 2 در مقایسه با ISO 27001 تمرکز بیشتری بر حاکمیت دارد و شامل معیارهای مربوط به یکپارچگی پردازش و حفظ حریم خصوصی است، که ISO 27001 ندارد. با این حال، یک ISMS بالغ مطابق با ISO 27001 معمولاً بخش بسیار مهمی از توسعه یک چارچوب کنترلی SOC 2 را دارد.
این نقاط ویژگی های هر معیاری هستند که به سازمان کمک می کنند تا کنترل های خود را به شیوه ای مناسب طراحی کند. آنها معمولاً توسط ممیز برای تعیین مناسب و مؤثر بودن کنترلها تعریف می شوند.
در حالی که بین این دو چارچوب همبستگی وجود دارد، SOC 2 TSC گستردهتر از فرآیند و الزامات کنترل ISO 27001 است، حداقل به دلیل این واقعیت که SOC 2 بیشتر حاکمیت محور است.
این می تواند به این معنی باشد که توسعه یک چارچوب کنترلی SOC 2 هزینه بیشتری را متحمل می شود، اما تفاوت هزینه اصلی در فرآیند تأیید است. راه اندازی یک شرکت CPA برای ارائه گزارش Type1 SOC 2 می تواند به طور قابل توجهی گران تر از دریافت گواهینامه ISO 27001 از یک نهاد صدور گواهینامه معتبر باشد.
گزارش Type2 SOC 2 هزینه بیشتری را به دلیل این واقعیت که ممیزی در حال آزمایش شواهد در طول دوره اطمینان است، اضافه می کند.